Apple, siber saldırganların iPhone kullanıcılarını çekirdek düzeyinde tehlikeye atmak için aktif olarak kullandığı iki kritik iOS sıfır gün güvenlik açığını düzeltmek için acil durum güvenlik güncellemeleri yayınladı.
Buna göre Apple’ın güvenlik bülteni 5 Mart’ta yayımlanan bellek bozulması hataları, rastgele çekirdek okuma ve yazma yeteneklerine sahip tehdit aktörlerinin çekirdek bellek korumalarını atlamasına olanak tanıyor:
-
CVE-2024-23225: iOS Çekirdeğinde Bulundu
-
CVE-2024-23296: RTKit bileşeninde bulundu
Apple, şekline sadık kalarak ek ayrıntılar sunmayı reddederken, mobil güvenlik sağlayıcısı Zimperium’un ürün stratejisi başkan yardımcısı Krishna Vishnubhotla, bu gibi kusurların bireyler ve kuruluşlar için daha büyük riskler sunduğunu açıklıyor.
“Herhangi bir platformdaki çekirdek çok önemlidir çünkü tüm işletim sistemi işlemlerini ve donanım etkileşimlerini yönetir” diye açıklıyor. “Rastgele erişime izin veren bir güvenlik açığı, saldırganların güvenlik mekanizmalarını atlamasına olanak tanıyabilir ve potansiyel olarak sistemin tamamen ele geçirilmesine, veri ihlallerine ve kötü amaçlı yazılım girişine yol açabilir.”
Ve sadece bu değil, aynı zamanda çekirdek hafıza koruma bypass’ları da özel bir özelliktir. Apple odaklı siber saldırganlar.
Bambanek Consulting başkanı John Bambenek, “Apple’ın, uygulamaların diğer uygulamaların veya sistemin verilerine ve işlevlerine erişmesini önlemek için güçlü korumaları var” diyor. “Çekirdek korumalarını atlamak, esasen saldırganın telefona rootkit yapmasına olanak tanır; böylece GPS, kamera ve mikrofon gibi her şeye ve açık metin (ör. Sinyal) olarak gönderilen ve alınan mesajlara erişebilir.”
Apple Bugs: Sadece Ulus-Devlet Rootkitleme için Değil
Apple’ın şu ana kadar istismar ettiği sıfır gün sayısı üçe çıktı: Ocak ayında teknoloji devi bir yama yayınladı. Safari WebKit tarayıcı motorundaki sıfır gün hatasından aktif olarak yararlanıldı (CVE-2024-23222), bir tür karışıklık hatası.
Bu durumda istismarı kimin yaptığı belli değil ancak iOS kullanıcıları son aylarda casus yazılımların en büyük hedefi haline geldi. Geçen yıl Kaspersky araştırmacıları, Apple’ın Apple’a bağlı bir dizi sıfır gün kusurunu (CVE-2023-46690, CVE-2023-32434, CVE-2023-32439) ortaya çıkardı. Nirengi Operasyonu, TriangleDB casusluk implantlarını çeşitli hükümet ve kurumsal hedeflere iOS cihazlarına yerleştiren karmaşık, muhtemelen devlet destekli bir siber casusluk kampanyası. Ve ulus-devletlerin, NSO Grubunun Pegasus casus yazılımını bırakmak için sıfır gün yakın tarihli bir sürüm de dahil olmak üzere iOS cihazlarda Ürdün sivil toplumuna karşı kampanya.
Ancak Viakoo’daki Viakoo Laboratuvarları’nın başkan yardımcısı John Gallagher, saldırganların doğasının daha sıradan ve gündelik organizasyonlar için daha tehlikeli olabileceğini söylüyor.
“iOS sıfır gün güvenlik açıkları yalnızca Pegasus gibi devlet destekli casus yazılım saldırıları için geçerli değildir” diyor ve okuma ve yazma ayrıcalıklarına sahipken çekirdek bellek korumalarını atlayabilmenin “olabildiğince ciddi” olduğunu da ekliyor. “Gizliliği hedefleyen herhangi bir tehdit aktörü, özellikle akıllı telefonlar gibi çok kullanılan cihazlarda veya IoT cihazları ve uygulamaları gibi yüksek etkili sistemlerde sıfır gün açıklarından yararlanmak isteyecektir.”
Apple kullanıcılarının, güvenlik açıklarını iyileştirilmiş giriş doğrulamayla düzeltmek için aşağıdaki sürümlere güncellemeleri gerekir: iOS 17.4, iPadOS 17.4, iOS 16.76 ve iPad 16.7.6.